Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00101 009740 11027983 na godz. na dobę w sumie
Windows 2000 Server. Architektura i implementacja. Czarna księga - książka
Windows 2000 Server. Architektura i implementacja. Czarna księga - książka
Autor: Liczba stron: 840
Wydawca: Helion Język publikacji: polski
ISBN: 83-7197-500-7 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> systemy operacyjne >> windows server
Porównaj ceny (książka, ebook, audiobook).
Każda osoba z praktyczną znajomością Windows NT będzie mogła zyskać na informacjach zawartych w tej książce. Lecz proszę nie wprowadzić się w błąd. Ta książka jest napisana z myślą o profesjonalistach z branży komputerowej. Stratedzy, planiści i projektanci technik informatycznych, jak również obecni administratorzy z praktycznym doświadczeniem z Windows NT skorzystają z tej książki najwięcej.

Książka ta może również pomóc przy ubieganiu się o tytuł Microsoft Certified Systems Engineer (MCSE), ponieważ obejmuje pełny program egzaminów Microsoft Certified Professional 70-219 'Designing a Microsoft Windows 2000 Directory Services Infrastructure' (Projektowanie infrastruktury usług katalogowych Microsoft Windows 2000) oraz 70-222 'Upgrading from Microsoft Windows NT 4.0 to Microsoft Windows 2000' (Modernizacja z Microsoft Windows NT 4.0 do Microsoft Windows 2000).

Należy jednak podkreślić, iż głównym zadaniem tej książki jest dostarczenie Czytelnikowi wiedzy teoretycznej i przykładów potrzebnych, by przejść bezpiecznie planowanie i projektowanie Active Directory. Wobec tego jest całkiem możliwe, iż Czytelnik będzie w stanie zdać dwa wspomniane powyżej testy studiując jedynie uważnie tę książkę. Lecz dla pewności można uzupełnić tę książkę stosownymi kursami Exam Cram, ponieważ Microsoft zwykle z upływem czasu udoskonala swoje egzaminy MCP -- zaś kursy Exam Cram pozwolą poznać dokładne curriculum i zmierzyć się ze sporą liczbą możliwych pytań.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Windows 2000 Server. Architektura i implementacja. Czarna ksiŒga Autor: Morten Strunge Nielsen T‡umaczenie: Adam Jarczyk ISBN: 83-7197-500-7 Tytu‡ orygina‡u: and Planning Format: B5, stron: 830 Windows 2000 Server Architecture Ka¿da osoba z praktyczn„ znajomo(cid:156)ci„ Windows NT bŒdzie mog‡a zyska(cid:230) na informacjach zawartych w tej ksi„¿ce. Lecz proszŒ nie wprowadzi(cid:230) siŒ w b‡„d. Ta(cid:160) ksi„¿ka jest napisana z my(cid:156)l„ o profesjonalistach z bran¿y komputerowej. Stratedzy,(cid:160) plani(cid:156)ci i projektanci technik informatycznych, jak r(cid:243)wnie¿ obecni administratorzy z(cid:160) praktycznym do(cid:156)wiadczeniem z Windows NT skorzystaj„ z(cid:160) tej(cid:160) ksi„¿ki(cid:160) najwiŒcej. Ksi„¿ka ta mo¿e r(cid:243)wnie¿ pom(cid:243)c przy ubieganiu siŒ o tytu‡ Microsoft Certified Systems Engineer (MCSE), poniewa¿ obejmuje pe‡ny program egzamin(cid:243)w Microsoft Certified Professional 70-219 (cid:132)Designing a Microsoft Windows 2000 Directory Services Infrastructure(cid:148) (Projektowanie infrastruktury us‡ug katalogowych Microsoft Windows 2000) oraz 70-222 (cid:132)Upgrading from Microsoft Windows NT 4.0 to Microsoft Windows(cid:160) 2000(cid:148) (Modernizacja z Microsoft Windows NT 4.0 do Microsoft Windows(cid:160) 2000). Nale¿y jednak podkre(cid:156)li(cid:230), i¿ g‡(cid:243)wnym zadaniem tej ksi„¿ki jest dostarczenie Czytelnikowi wiedzy teoretycznej i przyk‡ad(cid:243)w potrzebnych, by przej(cid:156)(cid:230) bezpiecznie planowanie i projektowanie Active Directory. Wobec tego jest ca‡kiem mo¿liwe, i¿(cid:160) Czytelnik bŒdzie w stanie zda(cid:230) dwa wspomniane powy¿ej testy studiuj„c jedynie uwa¿nie tŒ ksi„¿kŒ. Lecz dla pewno(cid:156)ci mo¿na uzupe‡ni(cid:230) tŒ ksi„¿kŒ stosownymi kursami Exam Cram, poniewa¿ Microsoft zwykle z up‡ywem czasu udoskonala swoje egzaminy MCP -- za(cid:156) kursy Exam Cram pozwol„ pozna(cid:230) dok‡adne curriculum i zmierzy(cid:230) siŒ ze spor„ liczb„ mo¿liwych pytaæ. IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TRE(cid:140)CI SPIS TRE(cid:140)CI KATALOG KSI¥flEK KATALOG KSI¥flEK KATALOG ONLINE KATALOG ONLINE ZAM(cid:211)W DRUKOWANY KATALOG ZAM(cid:211)W DRUKOWANY KATALOG TW(cid:211)J KOSZYK TW(cid:211)J KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAM(cid:211)W INFORMACJE ZAM(cid:211)W INFORMACJE O NOWO(cid:140)CIACH O NOWO(cid:140)CIACH ZAM(cid:211)W CENNIK ZAM(cid:211)W CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥flEK ONLINE FRAGMENTY KSI¥flEK ONLINE Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl O Autorze ..............................................................................................................11 Wstęp....................................................................................................................13 Część I Przegląd ...................................................e............................. 19 Rozdział 1. Przegląd rynku .....................................................................................21 Microsoft jest wszędzie...................................................j...................................................j..... 22 NT a Windows 9.x ...................................................j...................................................j............ 23 Windows 2000 Server dla systemów high-end...................................................j.................... 26 W poszukiwaniu nowych możliwości rynkowych ...................................................j.............. 27 Nowa mantra Microsoftu — Digital Nervous Systems ...................................................j....... 29 Wszystko prowadzi do Windows 2000 Server ...................................................j.................... 31 Rozdział 2. Windows 2000 w skrócie .....................................................................33 Windows 2000 jest ogromnym nowym produktem...................................................j............. 33 Część II Planowanie ...................................................e........................ 57 Rozdział 3. Wprowadzenie do usług katalogowych .................................................59 Co składa się na usługę katalogową?...................................................j................................... 60 Dzisiejsze usługi katalogowe ...................................................j............................................... 70 Rozdział 4. Podstawy Active Directory ...................................................................77 Active Directory wchodzi na scenę ...................................................j..................................... 78 Podstawowe definicje usług katalogowych ...................................................j......................... 79 Domeny — logiczny podział katalogu na partycje...................................................j.............. 83 Jednostki organizacyjne — logiczny podział domen...................................................j........... 87 Wykaz globalny — kolejna kluczowa funkcja Active Directory ........................................... 87 Kontrolery domen i lokacje — fizyczne składniki katalogu .................................................. 88 Kluczowe funkcje Active Directory ...................................................j.................................... 90 Jak Active Directory mieści się w architekturze systemu Windows 2000 Server.................. 94 Active Directory — podsumowanie ...................................................j.................................... 97 Rozdział 5. Kluczowe pojęcia Active Directory ........................................................99 Domeny i jednostki organizacyjne...................................................j....................................... 99 Drzewa i lasy...................................................j...................................................j................... 101 Jak połączyć ze sobą te ważne składniki ...................................................j........................... 103 DNS i LDAP ...................................................j...................................................j................... 107 Wykaz globalny ...................................................j...................................................j.............. 110 Strona fizyczna Active Directory: lokacje i DC ...................................................j................ 111 6 Windows 2000 Server. Architektura i implementacja. 2Czarna księga Kilka słów o replikacji ...................................................j...................................................j.... 115 Typy nazw i konwencje nazewnicze w Active Directory...................................................j.. 117 Elementy struktury logicznej Active Directory ...................................................j................. 119 Zabezpieczenia Active Directory...................................................j....................................... 121 Podsumowanie ...................................................j...................................................j................ 123 Rozdział 6. Ustalenie struktury usług katalogowych na potrzeby organizacji .........127 Kilka słów o zespole planującym wdrożenie...................................................j..................... 127 Określenie cech charakterystycznych organizacji ...................................................j............. 129 Co jest potrzebne i dlaczego ...................................................j.............................................. 147 Idziemy dalej...................................................j...................................................j................... 148 Rozdział 7. Ustalenie struktury DNS.....................................................................149 Przykład ustawień usługi DNS w Active Directory ...................................................j.......... 150 Od usługi WINS do DDNS ...................................................j................................................ 151 Wprowadzenie do Systemu Nazw Domen...................................................j......................... 153 DDNS i inne nowe funkcje DNS-u...................................................j.................................... 173 Projekt DNS-u w skrócie ...................................................j...................................................j 186 Zalecane etapy projektowania DNS-u ...................................................j............................... 205 Do roboty! ...................................................j...................................................j....................... 206 Rozdział 8. Planowanie struktury domeny.............................................................209 Im prościej, tym lepiej...................................................j...................................................j..... 210 Jak zbudowana jest domena ...................................................j............................................... 213 Podstawy jednostek organizacyjnych ...................................................j................................ 215 Podsumowanie pojęcia OU ...................................................j................................................ 216 Jednostki organizacyjne kontra domeny...................................................j............................ 220 Projektowanie struktury OU ...................................................j.............................................. 222 Typowe modele OU ...................................................j...................................................j........ 223 Planowanie struktury OU...................................................j...................................................j 229 Kilka rad dotyczących projektu OU...................................................j................................... 234 Przykłady projektów OU...................................................j...................................................j. 235 Najważniejsze wskazówki ...................................................j................................................. 238 Kilka słów na sam koniec ...................................................j.................................................. 241 Rozdział 9. Planowanie zarządzania użytkownikami i grupami...............................243 Wprowadzenie do zarządzania kontami użytkowników...................................................j.... 244 Konto użytkownika ...................................................j...................................................j......... 250 Konto grupy — wprowadzenie ...................................................j.......................................... 258 Grupy domyślne ...................................................j...................................................j.............. 266 Strategie grup ...................................................j...................................................j.................. 281 Najważniejsze wskazówki ...................................................j................................................. 287 Użytkownicy i grupy w skrócie ...................................................j......................................... 289 Rozdział 10. Planowanie zasad grup i delegowania administracji..........................291 Delegowanie administracji...................................................j................................................. 292 Wprowadzenie do zasad grup ...................................................j............................................ 294 Szczegóły zasad grup ...................................................j...................................................j...... 302 Spis treści 7 O co w tym wszystkim chodzi: planowanie...................................................j....................... 309 Obszar zarządzania...................................................j...................................................j.......... 311 Optymalizacja wydajności ...................................................j................................................. 321 Optymalizacja zarządzania...................................................j................................................. 322 Najważniejsze wskazówki ...................................................j................................................. 323 Zasady grup w skrócie ...................................................j...................................................j....325 Rozdział 11. Planowanie drzew domen i lasu ........................................................327 Najlepsze rozwiązanie — pojedyncza domena...................................................j.................. 328 Drzewo domen i las — wprowadzenie ...................................................j.............................. 329 Krok po kroku ...................................................j...................................................j................. 332 Zabieramy się do projektowania struktury domen...................................................j............. 335 Ustalenie liczby domen potrzebnych organizacji ...................................................j.............. 337 Definiowanie przestrzeni nazw domen ...................................................j.............................. 341 Przykład projektu domeny ...................................................j................................................. 346 Najważniejsze wskazówki ...................................................j................................................. 348 Ostatnie słowa ...................................................j...................................................j................. 349 Rozdział 12. Planowanie struktury fizycznej..........................................................351 Kontrolery domen, wykazy globalne i lokacje — wprowadzenie........................................ 352 Więcej o replikacji ...................................................j...................................................j.......... 354 Jak odbywa się replikacja.............................j...................................................j......................357 DC i GC w szczegółach ...................................................j...................................................j.. 368 Lokacje — szczegóły ...................................................j...................................................j......374 Usługa Czas systemu Windows ...................................................j......................................... 387 Pozostałe topologie replikacji: DFS i FRS ...................................................j........................ 389 Jak projektować pod kątem właściwości fizycznych...................................................j......... 399 Najważniejsze wskazówki ...................................................j................................................. 416 Ostatnie słowa ...................................................j...................................................j................. 418 Rozdział 13. Ocena rezultatów.............................................................................421 Wprowadzenie do usług katalogowych ...................................................j............................. 421 Wprowadzenie do Active Directory ...................................................j.................................. 424 Główne pojęcia Active Directory ...................................................j...................................... 424 Planowanie: przez błędy do sukcesu...................................................j.................................. 433 Planowanie struktur logicznych Active Directory...................................................j............. 435 Planowanie fizycznych struktur Active Directory...................................................j............. 440 Nie zapominajmy o bezpieczeństwie...................................................j................................. 443 Na sam koniec ...................................................j...................................................j................. 444 Część III Zaawansowane zagadnienia projektowe.............................. 447 Rozdział 14. Zaawansowane zagadnienia zabezpiecze5........................................449 Podstawy infrastruktury zabezpieczeń...................................................j............................... 450 Podstawowy system uwierzytelniania: Kerberos...................................................j............... 455 Alternatywa: PKI i Smart Card ...................................................j.......................................... 462 Bezpieczeństwo na poziomie sieci: IPSec ...................................................j............................ 469 Zabezpieczenia na poziomie dyskowym: EFS...................................................j................... 474 8 Windows 2000 Server. Architektura i implementacja. 2Czarna księga Implementowanie zabezpieczeń ...................................................j........................................ 477 Naprawdę wspaniałe rozwiązanie z kilkoma niedociągnięciami.......................................... 484 Rozdział 15. Planowanie z myllą o serwerze Exchange ........................................487 Współpraca z serwerem Exchange...................................................j..................................... 487 Wprowadzenie do Exchange 2000 Server ...................................................j......................... 507 Przenosiny do Exchange 2000 Server...................................................j................................ 511 Najważniejsze wskazówki ...................................................j................................................. 516 Exchange to jest to!...................................................j...................................................j......... 520 Rozdział 16. Jak projektować dla innych aplikacji korzystających z Active Directory ......................................................................521 Czym jest integracja? ...................................................j...................................................j...... 521 Stan obecny ...................................................j...................................................j..................... 527 Integracja ogólnego zastosowania ...................................................j..................................... 530 To (mam nadzieję) dopiero początek...................................................j................................. 535 Część IV Testy ...................................................e.............................. 537 Rozdział 17. Implementacja Active Directory........................................................539 Instalacja Windows 2000 Server...................................................j........................................ 539 Jak dotąd wszystko idzie dobrze...................................................j........................................ 577 Rozdział 18. Zaawansowane zagadnienia implementacji Active Directory .............579 Opcje zaawansowane ...................................................j...................................................j...... 579 Tworzenie OU dla zasad i delegowania administracji...................................................j....... 581 Tworzenie lokacji i definiowanie właściwości replikacji...................................................j.. 589 Zapobieganie katastrofom w systemie Windows 2000 Server ............................................. 600 Korzystanie z ważnych właściwości domen i lasów ...................................................j......... 607 Główne narzędzia Active Directory...................................................j................................... 612 Mieszanka firmowa...................................................j...................................................j......... 621 Rozdział 19. Zarządzanie schematem...................................................................623 Schemat w skrócie...................................................j...................................................j........... 623 Najważniejsze klasy obiektów w Active Directory ...................................................j........... 625 Kiedy modyfikować schemat...................................................j............................................. 633 Modyfikacje schematu ...................................................j...................................................j.... 637 Jak wprowadzać dane masowe...................................................j........................................... 652 Najważniejsze wskazówki ...................................................j................................................. 657 Spokojnie z aktualizacjami schematu ...................................................j................................ 659 Rozdział 20. Sztuka szacowania rozmiarów Active Directory ................................661 Wnętrze Active Directory ...................................................j.................................................. 662 Szacowanie rozmiarów i optymalizacja bazy danych Active Directory .............................. 668 Obciążenie replikacjami Active Directory...................................................j......................... 675 Jak zrozumieć i zoptymalizować zachowanie sieci ...................................................j........... 680 Najważniejsze wskazówki ...................................................j................................................. 691 Podsumowanie ...................................................j...................................................j................ 695 Spis treści 9 Część V Miejsce w istniejącej infrastrukturze.................................... 697 Rozdział 21. Implementacja NT Server 4 z myllą o Active Directory .....................699 Istotne rady dotyczące projektu środowiska NT Server 4 ...................................................j. 700 Nudne szczegóły TCP/IP ...................................................j...................................................j 701 Wybór modelu domeny...................................................j...................................................j... 707 Istotne doświadczenia dotyczące grup i użytkowników...................................................j.... 708 Podejście od strony serwera Exchange ...................................................j.............................. 710 Najważniejsze wskazówki ...................................................j................................................. 712 Ostatnia porada...................................................j...................................................j................ 712 Rozdział 22. Migracja do Active Directory ............................................................715 Ogólne spojrzenie na modernizację ...................................................j................................... 716 Planowanie wstępne: analiza obecnych struktur NT Server................................................. 717 Wybór sposobu migracji domen NT...................................................j.................................. 719 Opracowanie planu odzyskiwania ...................................................j..................................... 727 Kiedy przejść w tryb macierzysty...................................................j...................................... 730 Podstawy migracji i scalania domen...................................................j.................................. 731 Zapoznanie z narzędziami...................................................j.................................................. 735 Migracje metodą czystej kartki ...................................................j.......................................... 740 Modernizacje w miejsce...................................................j...................................................j.. 742 Najważniejsze wskazówki ...................................................j................................................. 752 Wykonanie faktycznej modernizacji...................................................j.................................. 753 Rozdział 23. Współistnienie w lrodowiskach innych produ.centów i migracja z nich................................................................................................755 Jaka jest strategia integracji Microsoftu...................................................j............................. 756 Cel nr 1. Udostępnienie pojedynczego podpisu...................................................j................. 758 Cel nr 2. Ściślejsza integracja ...................................................j............................................ 765 Obecny stan rzeczy ...................................................j...................................................j......... 767 Migracja i współistnienie dzisiaj...................................................j........................................ 781 Dodatki...................................................e......................................... 783 Dodatek A Poradnik projektanta implementacji Windows 2000 Server .................785 Dodatek B Przykłady projektów Active Directory .................................................803 Skorowidz.................................................................................................................821 Rozdział 4. Jak zostało stwierdzone w rozdziale 3., w większości przedsiębiorstw informacje o oso- bach, aplikacjach i zasobach są rozrzucone po całej infrastrukturze sieciowej. Niemal wszystkie istniejące systemy operacyjne i aplikacje, od poczty elektronicznej do syste- mów planowania zasobów przedsiębiorstwa (ERP — Enterprise Resource Planning) posiadają własne składnice danych — inaczej katalogi — służące do przechowywania informacji o użytkownikach i zasobach. I ponieważ większość firm systematycznie zwiększa liczbę używanych i obsługiwanych aplikacji i platform, liczba różnych maga- zynów również rośnie. Ten gwałtowny rozwój magazynów zmusza przedsiębiorstwa do zarządzania informa- cjami w wielu różnych miejscach — mimo iż zawierają one informacje podwojone i po- wiązane ze sobą. Aby zminimalizować koszty i zwiększyć zdolność reakcji na zmiany, firmy potrzebują usługi katalogowej na skalę całego przedsiębiorstwa, która udostępnia uniwersalne miejsce składowania danych przedsiębiorstwa, dostępu do nich i zarządza- nia nimi — i nie poświęca funkcjonalności aplikacji i systemów operacyjnych. Active Directory jest ofertą Microsoftu w dziedzinie takich usług katalogowych na skalę przed- siębiorstwa. Bieżący rozdział zawiera pełny przegląd kluczowej terminologii Active Directory i związ- ki tej usługi z podstawowymi składnikami Windows 2000 Server. Poziom rozumienia Active Directory przez Czytelnika powinien wzrosnąć szybko dzięki definicjom naj- ważniejszych pojęć i opisom działania. W trakcie lektury następnych rozdziałów znajo- mość Active Directory zostanie przekształcona w wiedzę, którą Czytelnik będzie mógł wykorzystać do projektowania i planowania własnych imwplementacji Active Directory. Zrozumienie podstawowych pojęć i terminologii Active Directory przedstawionych w tym rozdziale jest niezbędne dla planowania środowiska Windows 2000 Server i sta- nowi wymóg wstępny dla pomyślnego przejścia przez całość książki. Proszę jednak nie poddawać się, jeśli zawarty w tym rozdziale intensywny kurs terminologii Active Directory okaże się trochę przytłaczający. Nowe pojęcia Active Directory wymagają nauki (i odświeżenia) mnóstwa informacji, niezależnie od poziomu doświadczenia z systemem NT 4 lub Windows 2000 Server. Z tego powodu następny rozdział rozbu- duje definicje najważniejszych pojęć Active Directory. 78 Czlć II KKKK Planowanie Active Directory wchodzi na scen Dwa najbardziej krytyczne aktywa przedsiębiorstw w dzisiejszej ekonomii to ludzie i sys- temy informacyjne. Niestety, z technicznego punktu widzenia, w typowej sieci opartej na Windows NT 4 zasoby te nie posiadają o sobie nawzajwem absolutnie żadnej wiedzy. Na przykład, za każdym razem, gdy instalowana jest nowa aplikacja lub zatrudniany jest nowy pracownik, administratorzy muszą zazwyczaj utworzyć szereg wpisów do katalogu, aby skojarzyć nowego użytkownika z odpowiednimi zasobami. Proste zdarze- nia, jak zatrudnienie nowej osoby, mogą przekształcić się w zadanie wymagające mnó- stwa pracy — wprowadzenie do systemu poczty elektronicznej, systemów ERP, intra- netu, systemów dostępu zdalnego i tak dalej. Podobnie, gdy pracownik opuszcza firmę, jako użytkownik musi zostać natychmiast usunięty z tychw systemów. Awansy również mogą szybko stać się dla administratorów koszmarem, ponieważ nie można po prostu przeciągnąć użytkowników z jednej domeny Windows NT do innej. Zamiast tego administrator musi usunąć promowaną osobę z jednej domeny i całkowi- cie odtworzyć w innej (zaś przenoszenie całych grup pomiędzy domenami jest o wiele trudniejsze). Dane Forester Research pomagają pojąć skalę tego zadania: przeciętna firma z listy Fortune 1000 posiada ponad 180 odrębnych katalogów w swojej sieci. Wobec tego w dzisiejszym, szybko zmieniającym się świecie połączeń, nabyć, podziałów i reorgani- zacji zapewnienie, by pracownicy mieli właściwy dostęp do zasobów firmy, może być pracą w pełnym wymiarze dla armii pracowników branży informatycznej. Ponadto techniczne niedostatki NT 4 powodują nie tylko koszty i podwojenie nakładu pracy — wpływają też na elastyczność i bezpieczeństwo poufnych winformacji przedsiębiorstwa. Zjednoczenie katalogów firmy daje znacznie więcej niż tylko zmniejszenie kłopotów z zarządzaniem, zwiększenie elastyczności czy eliminację licznych naturalnych zagrożeń bezpieczeństwa. Usługa katalogowa klasy przemysłowej może służyć jako centralny ma- gazyn do składowania informacji, mających wpływ na każdy aspekt wydajności i funk- cjonalności sieci przedsiębiorstwa. Ten scentralizowany katalog gra zasadniczą rolę w ob- słudze takich zadań, jak tworzenie i narzucanie zasad priorytetów w ruchu sieciowym, zarządzanie przepustowością sieci czy kontrola dostwępu do danych przedsiębiorstwa. Usługa katalogowa zasadniczo ma szansę stać się sercem przedsiębiorstwa. I jak widać z lektury ostatniego rozdziału, system domen Windows NT nie posiada potrzebnej do tego funkcjonalności. Domeny Windows NT 4 mają liczne i dobrze znane niedostatki: ograniczone typy obiektów, płaskie przestrzenie nazw, bizantyjskie relacje zaufania, trudne API i tak dalej, i tak dalej. Na szczęście Microsoft oferuje obecnie Active Directory, by zaradzić słabościom do- men NT 4. Usługa katalogowa Active Directory jest zawarta w systemie Windows 2000 Server i stanowi rewolucję w porównaniu z katalogiem zawartym w Windows NT Se- rver 4. Active Directory posiada wiele zalet znanych z Windows NT Server 4 — poje- dyncze logowanie w sieci, pojedynczy punkt administracji i replikacji oraz pełną inte- grację z systemem operacyjnym Windows 2000. Jednakże Active Directory zawiera w sobie znacznie więcej, niż NT Server 4: Rozdział 4. KKKK Podstawy Active Directory 79 J Usługa Active Directory została zbudowana od podstaw z wwykorzystaniem standardowych technologii internetowych; położono naciwsk na bezpieczeństwo, rozproszenie, partycjonowanie i replikację. J Active Directory zaprojektowano do efektywnej pracy w iwnstalacjach dowolnych rozmiarów, od pojedynczego serwera zawierająwcego kilkaset obiektów, do tysięcy serwerów i milionów obiektów. J Active Directory zaprojektowano do roli narzędzia konswolidacji, tak by organizacje mogły izolować, zarządzać centralnie i przwenosić utrzymywane katalogi oraz zmniejszać ich liczbę. Powinno to uczynwić z Active Directory idealne długofalowe podłoże dla współdzielenia informwacji w przedsiębiorstwie i ogólnego zarządzania zasobami sieciowymi, obejmującewgo aplikacje, sieciowe systemy operacyjne i urządzenia korzystające z katalogwu. Podstawowe definicje usług katalogowych Przed zagłębieniem się w podstawowe pojęcia właściwe dla Active Directory, należy zrozumieć kilka podstawowych definicji, wspólnych dla Active Directory i niemal wszystkich istniejących obecnie usług katalogowych. Wiele terminów i pojęć może z początku wydawać się bardzo abstrakcyjnych, więc przejście przez cały ten podroz- dział może wymagać pewnego wysiłku — lecz okaże się to pwóźniej dobrą inwestycją. Obiekty i atrybuty Obiekt jest oddzielnym, nazwanym zbiorem atrybutów, które reprezentują coś konkret- nego, na przykład użytkownika, drukarkę czy aplikację. Atrybuty (inaczej właściwości) zawierają dane, które opisują podmiot identyfikowany przez obiekt katalogowy. Do atrybutów użytkownika mogą należeć imię, nazwisko i adres poczty elektronicznej, jak w przykładzie z rysunku 4.1. Rysunek 4.1. Przykładowy obiekt typu konta użytkownika i jego atrybuty Kontener Kontener jest obiektem, który może zawierać inne obiekty. Podobnie jak katalog w systemie plików jest pojemnikiem na dokumenty, kontener w katalogu jest pojemni- kiem na obiekty katalogowe. 80 Czlć II KKKK Planowanie Drzewo Drzewo w całej niniejszej książce jest pojęciem opisującym hierarchię obiektów. Drze- wo prezentuje sposób połączenia obiektów, przedstawiając ścieżki od jednego obiektu do innego. Wyobrażenie sobie katalogu plików może większości osób pomóc zrozu- mieć pojęcie (i podstawowe właściwości) struktury drzwewa. W drzewie punkty końcowe noszą nazwę liści (leaf node). W świecie usług katalogo- wych węzły te często określane są pojęciem nocontainer object (dosł. obiekt niekonte- ner), ponieważ nie mogą zawierać innych obiektów. Węzły drzewa (punkty odgałęzień drzewa) noszą nazwę nonleaf node (węzeł nie będący liściem) — lub, po prostu, konte- nera. Ciągłe poddrzewo (pokazane na rysunku 4.2 wewnątrz linii przerywanej) jest do- wolną nieprzerwaną ścieżką w drzewie, obejmującą zawartość wszystkich kontenerów w obrębie tej ścieżki. Rysunek 4.2. Drzewo, w którym ciągłe poddrzewo oznaczone jest linią przerywaną Przestrze(cid:20) nazw Active Directory jest w istocie, podobnie jak każda inna usługa katalogowa, przestrze- nią nazw, która jest dowolną definiowalną przestrzenią lub kontekstem, w którym okre- ślona nazwa może zostać rozwiązana. Przykłady przestrzweni nazw to: J Książka telefoniczna stanowiąca przestrzeń nazw, w ktwórej nazwiska abonentów telefonicznych mogą być rozwiązywane na numery telefonóww. J System plików Windows 2000 Server tworzący przestrzeń nazw, ww której nazwa pliku może być rozwiązana na faktyczny plik. Active Directory tworzy przestrzeń nazw, w której nazwa obiektu w katalogu może być rozwiązana na określony obiekt. Przestrzeń nazw definwiuje również zakres replikacji. Konteksty nazewnicze i partycje Active Directory składa się z jednego lub więcej kontekstów nazewniczych (inaczej zwanych partycjami). Kontekst nazewniczy jest ciągłym poddrzewem katalogu i jed- nostką replikacji (co znaczy, że każdy kontekst nazewniczy jest replikowany oddzielnie i nie zezwala się na replikacje obejmujące mniej niwż pełny kontekst nazewniczy). Rozdział 4. KKKK Podstawy Active Directory 81 Każdy serwer Active Directory zawsze zawiera przynajmniejw trzy konteksty nazewnicze (patrz też rysunek 4.3): J Kontekst nazewniczy schematu J Kontekst nazewniczy konfiguracji J Jeden lub więcej kontekstów nazewniczych użytkownika (wzwanych również partycją domeny) Rysunek 4.3. Katalog Active Directory jest podzielony na trzy odrębne części Kontekst nazewniczy schematu Ogólnie mówiąc, kontekst nazewniczy schematu definiuje, jakie obiekty mogą być two- rzone w katalogu i jakie atrybuty można do tych obiektów przydzielać. Mówiąc dokład- niej, partycja schematu zawiera zbiór wszystkich klas obiektów i atrybutów, jakie moż- na składować w Active Directory. Schemat Active Directory w szczegółach wygląda następująco: J Każda klasa składa się z listy atrybutów, jakie dana kwlasa — to znaczy, egzemplarze tej klasy (obiekty) — musi lub może zawieraćw. Na przykład, dla obiektu konta użytkownika wartość atrybutu First Nawme (imię) jest wymagana, podczas gdy wartość atrybutu Address (adres) jewst opcjonalna. J Każdy atrybut jest definiowany za pomocą składni, któraw pozwala kontrolować typy danych, jakie mogą być składowane w każdym atrybuciew i opcjonalnie zakres dopuszczalnych wartości. J Schemat jest rozszerzalny, co oznacza, iż można dowolnie dodawać nowe klasy i atrybuty. Warto zauważyć, iż kontekst nazewniczy schematu Active Directory jest zaimplemen- towany w postaci zbioru egzemplarzy klas obiektów, zapisanych w bazie danych kata- logu. Wiele konkurencyjnych usług katalogowych posiada schemat zapisany w postaci 82 Czlć II KKKK Planowanie pliku tekstowego, wczytywanego przy uruchomieniu. Przechowywanie schematu w ba- zie danych ma wiele zalet — na przykład, aplikacje mogą odczytywać schemat, by ustalić, jakie obiekty i właściwości są dostępne, zaś schemat Active Directory może być aktualizowany dynamicznie. Kontekst nazewniczy konfiguracji Kontekst nazewniczy konfiguracji zawiera wszystkie obowiązujące globalnie informa- cje konfiguracyjne Active Directory. I tak, obiekty o zasięgu globalnym powinny być zawsze publikowane w kontekście nazewniczym konfiguracji, ponieważ partycja ta jest replikowana do każdego kontrolera domeny (DC — Domain Controller) w całym lesie. Domyślnie kontekst nazewniczy konfiguracji zawiera informacje o topologii replikacji, konfiguracji lokacji, ustawienia sposobu wyświetlania różnych obiektów Active Direc- tory w interfejsie użytkownika (opcjonalnie pozwala to nawet ustalić, jak przedstawiać obiekty w kilku różnych interfejsach użytkownika) oraz konfigurację szeregu usług i wzajemnych odnośników pomiędzy różnymi kontekstami nazewniczymi. Oczekuje się, iż przyszłe aplikacje i usługi zintegrowane z Actwive Directory będą składować spory odsetek swoich danych w partycji konfiguracji. Konteksty nazewnicze urytkowników Konteksty nazewnicze użytkowników (inaczej partycje domen) są poddrzewami, które zawierają faktyczne obiekty katalogowe (proszę pamiętać, iż zakres możliwych typów obiektów jest zdefiniowany w kontekście nazewniczym schematu). Każda domena Active Directory stanowi pojedynczy kontekst nazewniczy użytkownika. Wobec tego każdy las Active Directory będzie zawsze zawierał przynajmniej jeden kontekst nazewniczy użyt- kownika (to znaczy, dla pierwszej domeny zdefiniowanewj przy tworzeniu katalogu). Nazwa Active Directory opiera się na idei reprezentowania każdego obiektu w katalogu przez własną nazwę. Nazwy ułożone są w sposób hierarchiczny, więc można tworzyć ścieżki powiązane z oryginalną nazwą. Istnieją dwa zasadniczo odmienne sposoby adresowaniaw za pomocą nazw: J Nazwa wyróżniająca (DN — Distinguished Name) — każdy obiekt w Active Directory posiada DN, identyfikującą (wyróżniającą) domenęw, która zawiera obiekt, oraz pełną ścieżkę przez hierarchię kontenewrów, prowadzącą do obiektu. Przykładowa DN, identyfikująca obiekt „Viggo Mortensen” w dwomenie Netlog.com (patrz rysunek 4.4) wygląda tak: /O=Internet/DC=COM/DC= Netlog/CN=Users/CN=Viggo Mortensen J Względna nazwa wyróżniająca (RDN — Relative Distinguished Name) — część DN obiektu, będąca atrybutem samego obiektu. W powyższym wprzykładzie RDN obiektu użytkownika „Viggo Mortensen” brzmi CN=Viggo Mortensen. RDN obiektu nadrzędnego brzmi CN=Users. Rozdział 4. KKKK Podstawy Active Directory 83 Rysunek 4.4. Graficzne przedstawienie nazwy wyróżniającej (DN). Zrozumienie DN jest konieczne, aby ustalić względną nazwę wyróżniającą Rozwizywanie nazw Rozwiązywanie nazw jest procesem tłumaczenia nazwy na jakiś typ informacji o obiek- cie lub na informację reprezentowaną przez nazwę. Active Directory do rozwiązywania nazw używa usługi dynamicznego systemu nazw domen — Dynamic Domain Name System (DDNS). Domeny — logiczny podział katalogu na partycje Domena jest podstawową jednostką struktury logicznej Active Directory (podobnie jak w Windows NT Server 4 i wcześniejszych wersjach). Jednakże domena Active Directo- ry znacznie różni się od domeny z Windows NT Server. W Active Directory domena stanowi logiczne zgrupowanie obiektów, zawiera się w niej również granica replikacji i zabezpieczeń. Główne możliwości i zalety domen Active Directory są następujące: J Każda domena udostępnia funkcjonalność grupowania obiwektów (to znaczy, pozwala za pomocą kontenerów stworzyć hierarchię dla wobiektów mieszczących się w tej domenie), umożliwiającą odzwierciedlenie owrganizacji firmy. J Każda domena składuje jedynie informacje o obiektach wmieszczących się w niej. Przez podział (partycjonowanie) informacji katalogowych w ten sposób można powiększyć Active Directory tak, by pomieściła prawktycznie tyle obiektów, ile kiedykolwiek będzie potrzebne w dowolnwym przedsiębiorstwie. J Granica domeny jest też granicą zabezpieczeń. Zasady i uwstawienia zabezpieczeń (jak np. użytkownicy, uprawnienia adminiswtracyjne i listy kontroli dostępu) nie przechodzą pomiędzy domenami. Administrawtor domeny ma pełne prawa ustanawiania zasad jedynie w granicach własnejw domeny. J Domena może rozciągać się na więcej niż jedną lokalizawcję fizyczną. Wykorzystanie domen jest w istocie czysto logiczną metwodą podziału katalogu — domeny nie mają żadnego wpływu na aspekt fizyczny instwalacji, na przykład na faktyczne rozmieszczanie serwerów i klientów. 84 Czlć II KKKK Planowanie Active Directory może posiadać jedną lub więcej domen. Domeny są połączone ze sobą w jedno lub więcej drzew, które stanowią część lasu. Inaczej mówiąc, las składa się z jednego lub wielu drzew, z których każde składa się wz jednej lub wielu domen. Chociaż „domeny” nadal są podstawowymi elementami kdonstrukcyjnymi Active Directory, proszę nie mylić domen Active Directory dw Windows 2000 Server z domenami NT Server. Domeny Active Directory są całkodwicie różne od domen używanych w systemie Windows NT Server. Drzewa Drzewo domen (lub po prostu drzewo) składa się z kilku hierarchicznie zorganizowa- nych domen o wspólnym schemacie i konfiguracji, tworzących ciągłą przestrzeń nazw. Domeny w drzewie połączone są ze sobą relacjami zaufania. Inaczej mówiąc, gdy do- meny połączone są ze sobą relacjami zaufania i posiadają wspólny schemat, konfigura- cję, wykaz globalny i ciągłą przestrzeń nazw, wówczas twworzą drzewo domen. Najmniejszym drzewem domen jest pojedyncza domena Windows 2000 Server. Drzewa można widzieć z dwóch perspektyw: J przestrzeni nazw drzewa domen, J relacji zaufania pomiędzy domenami. Widok przestrzeni nazw W widoku przestrzeni nazw wszystkie domeny w pojedynczym drzewie mają wspólną, hierarchiczną strukturę nazewniczą. Pierwsza domena drzewa nosi nazwę domeny głów- nej lub korzenia (root) drzewa. Dodatkowe domeny w tym samym drzewie są domena- mi potomnymi (child domain). Domeny bezpośrednio ponad innymi noszą nazwę domen rodzicielskich lub domen nadrzędnych (parent domain). Nazwa domeny potomnej skła- da się z RDN tejże domeny dodanej na początku nazwy domeny nadrzędnej. Na przy- kład, hq.acme.com jest domeną potomną domeny nadrzędnej acme.com. Często narysowanie drzewa domen na podstawie jego hierarchicznej przestrzeni nazw może pomóc dokładnie zrozumieć drzewo domen. Na przykład, jak na rysunku 4.5, możemy wykorzystać szkic, by prosto ustalić DN obiektu, podążając w górę przestrzeni nazw drzewa domen. Rysunek 4.5. Spojrzenie na drzewo domen jako hierarchiczną przestrzeń nazw zawsze pomaga w zrozumieniu określonego modelu domen Rozdział 4. KKKK Podstawy Active Directory 85 Widok relacji zaufania Wszystkie domeny w drzewie są automatycznie łączone za pomocą dwukierunkowych, przechodnich relacji zaufania. Active Directory nawiązuje relacje zaufania pomiędzy domenami za pomocą protokołu zabezpieczeń Kerberos. Relacje zaufania Kerberosa są dwukierunkowe i przechodnie — to znaczy, jeśli domena A ufa domenie B, zaś domena B ufa domenie C, to również domena A ufa domenie C. Takie właściwości przechod- nich zaufań używanych w Active Directory wydajnie minimalizują liczbę potrzebnych relacji zaufania pomiędzy domenami w porównaniu z zaufaniami nieprzechodnimi (któ- re były używane przez Windows NT Server 4 i wcześniejsze wersje), niemal niezależ- nie od konkretnego zastosowania. W Active Directory domena, która przyłącza się do drzewa domen, natychmiast otrzy- muje relację zaufania z każdą domeną w drzewie — bez interwencji administratora — ponieważ Active Directory automatycznie tworzy przechodnie zaufanie z domeną nad- rzędną. Ponieważ niezbędne relacje zaufania są ustanawiane w drzewie już na starcie, wszystkie obiekty we wszystkich domenach są dostępne dla użytkowników i kompute- rów z dowolnej domeny w drzewie. Dzięki temu nie trzeba definiować relacji zaufania, aby użytkownicy byli w stanie za pomocą pojedynczego logowania uwierzytelnić się i uzyskać dostęp do całej sieci (oczywiście w zależnośwci od przywilejów użytkownika). Podobnie jak rysunek hierarchicznej przestrzeni nazw pozwoli uchwycić zawiłości drzewa domen, rysunek drzewa domen oparty na poszczególnych domenach i ich wza- jemnych zaufaniach pozwoli zrozumieć relacje zaufaniwa domen (patrz rysunek 4.6). Rysunek 4.6. Rozrysowanie drzewa domen na podstawie relacji zaufania pomaga w zrozumieniu pełnych implikacji modelu domeny Las Las jest zbiorem jednego lub wielu drzew domen, które nie tworzą ciągłej przestrzeni nazw — to znaczy, poszczególne domeny w lesie nie mają wspólnego korzenia, o ile las nie składa się z tylko jednego drzewa domen. Na przykład, domeny hq.com i sales.com nie posiadają ze sobą oczywistych związków. Jest to przykład nazw rozłącznych, gdzie dwie domeny nie mogą należeć do tego samego drzewa, lecz muswzą zostać połączone w las. Łączenie drzew w las daje nam elastyczność zarówno ciągłych, jak i rozłącznych kon- wencji nazewniczych. Może być to przydatne, na przykład, w przedsiębiorstwach po- siadających niezależne oddziały, z których każdy musi zawchować własne nazwy DNS. 86 Czlć II KKKK Planowanie Zaufania stały si przechodnie Zaufania potrzebne są również w środowisku Active Diredctory, aby pozwolić na bezpieczną łączność pomiędzy domenami w drzewie oraz pomiędzy drzewami ddomen w lesie. Jednakże relacje zaufania są obecnie automatycznie definiowane pomiędzy domenami dskładającymi się na las, w przeciwieństwie do zaufań dostępnych w poprzednich wersjach NT Server. Radzę zwrócić uwagę na poważne zmiany, wprowadzone prdzez przechodnią, dwukierunkową naturę zaufań w systemie Windows 2000 Server — zanim zrobi to ktodś z nieuczciwymi zamiarami! Wszystkie drzewa w lesie muszą mieć wspólne: schemat, konfigurację i wykaz global- ny, oraz „widzieć” pozostałe drzewa lasu przez przechodnie, hierarchiczne relacje za- ufania — podobnie jak w przypadku drzewa domen. Wobec tego jedyną widoczną róż- nicą pomiędzy drzewem i lasem jest fakt, iż każde drzewo w lesie posiada własną unikatową przestrzeń nazw, zamiast spójnej przestrzeni nazw (dlatego też las bywa cza- sem określany niespójną lub rozłączną przestrzenią nazw). Las istnieje jako zbiór obiektów z wzajemnymi odnośnikami i relacjami zaufania pomię- dzy drzewami i domenami. Drzewa domen w lesie tworzą na potrzeby zaufań hierarchię; nazwa drzewa w korzeniu drzewa zaufań (czyli pierwszego drzewa domen utworzonego w lesie) używane jest, gdy odnosimy się do określonego lwasu (patrz rysunek 4.7). Rysunek 4.7. Dwa odrębne drzewa domen tworzą w połączeniu las, ponieważ nazwy DNS tych drzew nie mają części wspólnych Inaczej mówiąc, aby udostępnić zasoby w domenie lub drzewie domen innym użyt- kownikom sieci, wystarczy dołączyć domenę do istniejącego drzewa lub utworzyć no- we drzewo domen jako część istniejącego wcześniej lasu. Gdy domena dołącza się do drzewa, tworzone jest zaufanie pomiędzy dodawaną domeną a domeną nadrzędną. Gdy dwa drzewa zostają skojarzone w las, tworzona jest relacja zaufania pomiędzy dome- nami głównymi każdego drzewa. Stosowane relacje zaufania są niewidoczne i nie jest wymagane dalsze zarządzanie relacjami zaufania. Ponieważ drzewa domen połączone ze sobą w las są łączone przechodnimi, dwukierunkowymi relacjami zaufania Kerbero- sa, użytkownicy mają dostęp do zasobów w każdej domeniwe całego lasu. Proszę jednak zauważyć, iż główną przewagą drzewa domen (czyli ciągłej przestrzeni nazw) nad lasem jest fakt, iż wyszukiwanie LDAP z węzła głównego przestrzeni nazw wydajnie przeszukuje całą hierarchię, podczas gdy w lesie można przeszukiwać jedynie wykaz globalny i lokalne drzewo domen. Różnica ta jest podstawowym powodem, dla którego należy zawsze dążyć do tworzenia drzew domen zamiast lasów. Należy więc Rozdział 4. KKKK Podstawy Active Directory 87 widzieć las jako sposób na osiągnięcie elastyczności, niezbędnej dla użyteczności Active Directory w prawdziwych zastosowaniach jedynie, gdy nie są dostępne żadne rozwią- zania alternatywne. Mówiąc bardziej wprost, las należy brać pod uwagę tylko wtedy, gdy nie można wykonać określonego zadania za pomocą pojwedynczego drzewa domen. Jednostki organizacyjne — logiczny podział domen Jednostki organizacyjne (OU — Organizational Unit) są jednym z wielu typów obiek- tów katalogowych, jakie można tworzyć w domenie. Jednakże OU jest chyba najważ- niejszym rodzajem obiektu katalogowego w domenie, ponieważ pozwala utworzyć ko- lejny poziom podziału logicznej przestrzeni nazw. OU są obiektami typu kontener, mogącymi służyć do organizowania obiektów w dome- nie w logiczne grupy administracyjne. Te kontenery logiczne mogą zawierać wiele inte- resujących obiektów, na przykład konta użytkowników, grupy, komputery, drukarki a nawet inne OU. Kombinacja domen i OU udostępnia elastyczny sposób na zorganizowanie katalogu pod kątem najbardziej wydajnego zarządzania (to znaczy, możemy wprowadzić do struktury logicznej dwa poziomy hierarchii). Gdy tworzymy OU w obrębie domen, możemy or- ganizować strukturę logiczną na tylu poziomach, ilu chcemy, nadal zachowując korzy- ści wypływające z tworzenia niewielkiej liczby domen wi zarządzania nią. Co ważniejsze, OU udostępniają model administracyjny, który może zostać sprowadzo- ny do najmniejszych potrzebnych jednostek. I dzięki nowym funkcjom delegowania w Active Directory użytkownicy i grupy mogą wykonywać bardzo szczegółowe zada- nia administracyjne, jak np. zmianę haseł i obsługę specjalnych praw w określonych kontenerach, na podstawie przynależności do OU. Na przykład, można przyznać użyt- kownikowi prawa administracyjne ograniczone do poddrzewa OU, pojedynczej OU lub nawet do podzbioru obiektów znajdujących się w pojedwynczej OU. Wykaz globalny — kolejna kluczowa funkcja Active Directory Active Directory może składać się z wielu partycji domen (inaczej kontekstów nazew- niczych użytkownika), aby więc móc znaleźć kopię partycji, która zawiera określony obiekt, trzeba znać większą część DN tego obiektu (wówczas można dokonać wyszu- kiwania LDAP, aby pobrać obiekt, jeśli pełna nazwa DN niwe jest znana). Często jednak użytkownik lub aplikacja nie zna DN obiektu docelowego lub nawet partycji, w której ten obiekt się mieści. Tu wchodzi do gry wykaz globalny (GC — Glo- bal Catalog), ponieważ pozwala on użytkownikom i aplikacjom znajdować obiekty w Active Directory bez konieczności kosztownego (i dość powolnego) wyszukiwania 88 Czlć II KKKK Planowanie w całym lesie, nawet jeśli użytkownik lub aplikacja zna tylko jeden lub kilka atrybutów docelowego obiektu. Korzystanie z GC pozwala na szybkie odpytywanie o obiekty w ca- łym lesie. Wykaz globalny jest dobrą alternatywą dla pełnego przeszukiwania, ponieważ po prostu zawiera podzbiór atrybutów wszystkich obiektów, znajdujących się we wszystkich do- menach Active Directory całego lasu. Zadaniem GC jest udostępnienie usługi i magazynu, który: J Zawiera kopię każdego obiektu domeny w danym lesie Actiwve Directory. J Zawiera podzbiór atrybutów obiektu, zdefiniowany przezw Microsoft. Administratorom wolno dodawać atrybuty przeznaczone dwo zawarcia w GC, aby zgodnie z potrzebami organizacji najczęściej przewszukiwane właściwości zostały udostępnione użytkownikom. J Jest tworzony automatycznie przez system replikacji Acwtive Directory. Każda fizyczna lokacja powinna typowo zawierać przynajmniej jeden lokalnie dostępny serwer GC, aby pozwolić na lokalny dostęp przy wyszukiwaniu informacji o dowolnym obiekcie w lesie (unikając w ten sposób marnowania cennej przepustowości łączy). Wyszu- kiwanie w wykazie globalnym może zostać zainicjowane w jeden z pwoniższych sposobów: J Przez przeszukiwanie poddrzewa lub pojedynczego poziowmu LDAP, zaczęte od pustej DN (poziomu głównego przestrzeni nazw). J Przez bezpośrednie odwołanie do portu GC w kopii GC. J Przez bezpośrednie odwołanie do dostawcy ADSI GC (GC://). Kontrolery domen i lokacje — fizyczne składniki katalogu Jak dotąd, wszystkie omawiane terminy i pojęcia były czysto logiczne — to znaczy, nie związane w żaden sposób z właściwościami fizycznymi, wobec czego nie brały pod uwagę ważnych ograniczeń fizycznych. Usługa Active Directory jest przygotowana do warunków fizycznych dzięki dwóm ważnym pojęciom: J Kontrolery domen (DC — Domain Controller) J Lokacje (Sites) Kontrolery domen Jak już wspomniano, struktura domen i struktura fizyczna są pojęciami niezależnymi. Pojedyncza domena może rozciągać się na wiele geograficznych lokacji, zaś pojedyn- cza lokacja może zawierać użytkowników i komputery nalewżące do wielu domen. Rozdział 4. KKKK Podstawy Active Directory 89 Ponadto Active Directory nie wymaga już rozróżnienia pomiędzy podstawowymi kon- trolerami domen (PDC — Primary Domain Controller) i zapasowymi kontrolerami do- meny (BDC — Backup Domain Controller). W przeciwieństwie do modelu single-master, używanego przez Windows NT 3.51 oraz NT 4, zawierającego PDC i BDC, wszystkie DC Active Directory są równorzędne, zaś każdy DC zawiera zapisywalną kopię katalo- gu domeny. Każdy DC może zmodyfikować swoją kopię katalogu, a zmiany w katalogu dokonane w jednym DC zostaną przesłane do pozostałych wDC w domenie. Tak więc wszystkie DC, będące członkami określonej domeny Active Directory, są zdolne do bezpośredniego przyjmowania zmian i replikacji tych zmian w całej domenie. W ten sposób Active Directory pozbywa się również irytującego pojedynczego punktu awarii, istniejącego w modelu replikacji single-mastwer. W modelu replikacji single-master wszyscy członkowie ddomeny (BDC) pod względem aktualizacji polegają na pojedynczym DC (PDC). Gdy więcd PDC jest nieczynny, nikt nie będzie w stanie wprowadzić zmian w domenie (łączndie ze zmianami haseł), ani zaktualizować w BDC zmian, które zostały zaimplemdentowane od ostatniej tury replikacji. Ponadto architektura równorzędnych kontrolerów pozwala promować dowolny serwer autonomiczny lub członkowski do roli DC Active Directory — i vice versa. Tak więc każdy komputer używający Windows 2000 Server może potencjalnie stać się DC, dzię- ki czemu przenoszenie DC pomiędzy domenami jest operawcją bardzo prostą. DC może albo przyłączyć się do istniejącej domeny, albo stać się pierwszym DC w no- wej domenie. DC, który przyłącza się do istniejącej domeny, nazywany jest repliką DC, ponieważ otrzymuje kopię katalogu domeny i uczestniczy w replikacji katalogu. Gdy DC staje się pierwszym DC w nowej domenie, czynność promocji serwera do roli DC w rzeczywistości tworzy domenę. Domena nie może istnieć, nie posiadając przynajm- niej jednego DC. Lokacje Aby zapewnić, by replikacje pomiędzy DC w określonej domenie pasowały do granic fizycznych (to znaczy, do przepustowości łączy pomiędzy lokalizacjami geograficzny- mi), Active Directory wprowadza pojęcie lokacji. Lokacja (site) jest z definicji miejscem w sieci, które zawiera serwery Active Directory i składa się z jednej lub wielu dobrze połączonych ze sobą podsieci TCP/IP. Lokacja posiada typowo takie same granice, jak sieć lokalna (LAN) — lecz niekoniecznie musi tak być. Gdy użytkownik loguje się, klient Active Directory usiłuje znaleźć niezbędne usługi lo- gowania Active Directory w serwerach, znajdujących się w tej samej podsieci co użyt- kownik. Łatwo to osiągnąć, ponieważ stacja robocza użytkownika już „wie”, w jakiej podsieci TCP/IP się znajduje, zaś podsieci przekładają się bezpośrednio na lokacje Ac- tive Directory. Klient będzie szukać gdzie indziej tylko wtedy, gdy potrzebne usługi nie będą dostępne w lokacji. 90 Czlć II KKKK Planowanie Kontrolery domen raz jeszcze Gdy Windows 2000 Server jest instalowany po raz pierwszyd, może zostać albo serwerem autonomicznym, albo serwerem członkowskim: J Serwer autonomiczny jest komputerem z działającym systemem Windows 2000 Serdver, który nie należy do domeny Windows 2000 Server. Jeśli instalujemy serwer dw roli członka grupy roboczej, zostaje on serwerem autonomicznym. J Serwer członkowski to komputer z działającym systemem Windows 2000 Server, dktóry jest członkiem domeny, lecz nie jest DC Active Directoryd. Serwery członkowskie nie otrzymują kopii katalogu. Są typowo przeznaczone na usługi aplikdacji lub zasobów, jak np. serwer plików i drukowania, lub serwer faksu. Windows 2000 Server używa Kreatora instalacji usługi Actidve Directory (dawniej noszącego nazwę Domain Controller Promotion Wizard, DCPROMO) w celu promocji serwera autonomicznego lub członkowskiego do roli DC, lub w celu degradacji DdC do roli serwera autonomicznego lub członkowskiego. Proszę też zauważyć, iż Windows 2000 Serverd już nie rozróżnia PDC i BDC. W sieciach Active Directory wszystkie DC są równorzęddne i zawierają zapisywalną kopię katalogu. Analogicznie, zdefiniowanie lokacji pozwala również administratorom szybko i łatwo konfigurować topologię dostępu i replikacji Active Directory tak, by brały poprawnie pod uwagę fizyczne właściwości sieci. Jak stacja robocza wykrywa lokację? Przedstawiając swodją podsieć (to znaczy, nakładając maskę podsieci na swój adres IP) pierwszemud serwerowi Active Directory, z którym nawiąże kontakt. Ten pierwszy serwer wykorzydstuje przedstawioną podsieć, aby znalepć obiekt lokacji (Site Object) dla lokacji, w kdtórej mieści się stacja robocza. Jeśli bieżący serwer nie znajduje się w tej lokacji, dwówczas powiadamia stację roboczą o serwerze lepiej nadającym się do wykorzysdtania. Kluczowe funkcje Active Directory Do pozostałych funkcji, niezbędnych do pełnego zrozumienia funkcjonalności Active Directory, należą: integracja usługi DNS, zabezpieczenia protokołu Kerberos, protokoły połączeniowe pozwalające na dostęp do informacji katalogowych i replikacja. Każda z tych funkcji jest decydująca dla uruchomienia i eksploatacji Active Directory. To zna- czy, nie wszystkie trzeba brać pod uwagę podczas faktycznego projektowania struktur Active Directory, lecz administratorzy systemu Windows 2000 Server muszą je właści- wie rozumieć, aby utrzymać Active Directory na chodzie. Integracja usługi DNS Usługa Active Directory jest blisko zintegrowana z systemem nazw domen (DNS — Domain Name System). DNS jest rozproszoną przestrzenią nazw, wykorzystywaną w Internecie do rozwiązywania nazw komputerów i usług na adresy TCP/IP. Większość firm posiadających sieci intranetowe używa już DNS w roli swojej usługi rozwiązywa- nia nazw — i teraz musi rozszerzyć to zastosowanie naw Active Directory. Rozdział 4. KKKK Podstawy Active Directory 91 Nazwy domen Windows 2000 Server są nazwami domen DNS. Na przykład, astonit- group.com jest poprawną nazwą domeny DNS, więc może być też nazwą domeny Win- dows 2000 Server. Kontroler domeny Active Directory podczas instalacji publikuje swoją obecność za pomocą dynamicznego DNS-u (DDNS) — niedawnego rozszerzenia standardu DNS, które definiuje protokół dynamicznego aktualizowania w serwerze DNS nowych lub zmienionych wartości. Przed pojawieniem się DDNS-u administratorzy mu- sieli ręcznie konfigurować rekordy składowane w serwewrach DNS. Serwery Active Directory publikują swoje adresy w formie, która pozwala klientom znajdować je nawet wtedy, gdy klient zna jedynie nazwę domeny. Serwery Active Directory są publikowane w DNS-ie za pomocą rekordów zasobów usługi (SRV — Se- rvice Resource Record). Rekord SRV jest rekordem DNS, który służy do odwzorowaniaw nazwy usługi na adres serwera, który tę usługę oferuje. Nazwa rekordu SRV przyjmuje postać usługa . protokół . domena . Ponieważ DC Active Directory używają usługi LDAP (Lightweight Directory Access Protocol) przez protokół TCP/IP, nazwy publikowane w Active Directory mają nastę- pującą formę: _ldap._tcp. domena . Rekordy SRV pozwalają również administratorowi wskazać priorytet i wagę każdego serwera, co pozwala klientom wybrać serwer najlepszy wdo zaspokojenia ich potrzeb. Jak stacja robocza znajduje serwer katalogu? Przez odpdytywanie DNS. Serwery katalogu dla określonej domeny publikują w DNS-ie rekorddy zasobów SRV w postaci _ldap._tcp. domena . Tak więc stacja robocza logująca się do acme.com będzie odpytywać DNS o rekordy SRV dla _ldap._tcp.acme.com. Z listy zostanie następnie wybrany serwer i nawiązana z nim łączność. Serwer ten wdykorzystuje przedstawione przez stację roboczą informacje o podsieci, aby znaledpć DC znajdujący się w tej samej lokacji, co stacja robocza. Zabezpieczenia protokołu Kerberos W Active Directory uwierzytelnianie odbywa się z użyciem protokołu Kerberos w wer- sji 5. Protokół ten jest w pełni zintegrowany z architekturą zabezpieczeń Windows 2000 Server w celu uwierzytelniania i kontroli dostępu. Podobnie jak w Windows NT, wstępne logowanie w domenie zapewnia architektura pojedynczego podpisu WinLo- gon. Jedyną różnicą jest więc dokonanie wstępnego uwierzytelnienia za pomocą Kerbe- rosa zamiast protokołu NT LAN Manager (NTLM
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Windows 2000 Server. Architektura i implementacja. Czarna księga
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: